攻击者利用三个 RAT 监控乌克兰政府机构

翻译：360代码卫士团队

ESET 公司的研究人员指出，攻击者利用三个不同的远程访问木马 (RAT) 监控乌克兰。

这些攻击显然始于2015年年末，但相关研究报告在2018年1月才发布。ESET 公司表示自从2017年中期就一直在追踪该攻击活动。攻击对象主要是政府机构，受害者达到数百人。

这次网络监控活动幕后的攻击者一直使用多个隐秘的 RAT 渗透敏感文档。这些 RAT 是 Quasar RAT、Sobaken RAT 和一个自定义 RAT 即 Vermin。

攻击者似乎缺乏高阶技能和访问 0day 漏洞的能力，他们使用邮件和社工传播恶意软件。某些包含 Word 文档的邮件试图利用于2017年4月修复的漏洞 CVE-2017-0199。

攻击者通常利用病毒释放器将最后的 payload（伪装成 Adobe、英特尔或微软的软件）传播至 %APPDATA% 文件夹并通过每隔10分钟执行的预定任务实现可持久性。Steganography 也被用于诱骗内容过滤。

为避免自动化分析系统和沙箱，恶意软件会检查系统是否安装了俄语或乌克兰语的键盘配置，如果未发现则会自我终止。它还检查系统的 IP 地址和机器上的用户名。另外，它还检查和随机生成的网站名称/URL 连接是否失败以确定是否是真正的系统。

攻击者至少从2015年10月末开始就从 GitHub 上免费下载并使用了 Quasar RAT。其他黑客组织也在攻击中使用了这款恶意软件，包括 Gaza Cybergang （或称“Gaza 黑客组织”或 Molerats）。

Sobaken 是对 Quasar RAT 的大幅修改版本，不仅删除功能让可执行文件变得更小，而且还增加了多种反沙箱和其它规避技术。

Vermin RAT 是一款自定义后门，首次出现在2016年中期，现在仍在使用中。它用 .NET 编写而成，受 ConfuserEx 保护并使用免费的 Vitevic Assembly Embedder，将所要求的 DLL 嵌入主可执行文件中。

这款恶意软件支持截屏、读取目录内容、上传/下载/删除/重命名文件、监控和终止进程、执行 shell、运行键盘记录器、操纵文件夹、捕获音频和更新僵尸。

多数命令在主 payload 中实现，但该 RAT 还支持可选组件如音频记录器、键盘记录器、密码窃取器和 USB 文件窃取器。

ESET 公司表示，“和针对乌克兰高级别组织机构的攻击者相比，他们并未引发太多的公众注意。然而，这些攻击者证明，通过狡猾的社工技术，网络攻击就能够在不使用复杂恶意软件的前提下成功。这件事说明，除了提供高质量的安全解决方案外，还需要提升员工的网络安全意识。”

原文链接

https://www.securityweek.com/rats-bite-ukraine-ongoing-espionage-campaign

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。